2022年6月17日,由中国信息通信研究院(以下简称“中国信通院”)主办的2022首届3SCON“软件供应链安全论坛”正式召开。会上中国信通院发布了多项重磅成果,发起成立了软件供应链安全实验室(3S-LAB),并邀请多位业内专家、企业代表围绕软件供应链安全的实践、治理趋势、技术探索等发表了主题演讲。
中国信通院云计算与大数据研究所副所长栗蔚在致辞中表示,我国软件供应链安全发展面临制度体系待完善、存量问题难解决、安全治理效能有待提升等问题。建立体系、制度流程及评价指标推进软件供应链安全工作,提升工作效能,将是日后工作的重点。中国信通院多年来在软件供应链安全领域开展相关工作取得了一系列成果,并将始终认真贯彻国家网络安全相关方针政策,牢固树立总体国家安全观。
软件供应链安全系列评估结果发布
为了推进标准落地并规范行业发展,中国信通院积极开展软件供应链安全领域的相关评估工作,并在会上发布了2022年最新评估结果:
可信安全最新评估结果发布
具体评估结果如下:
首批通过软件供应链安全管理能力评估(3SM)的企业:
- 平安银行股份有限公司
- 中国移动通信集团浙江有限公司
通过可信研发运营安全能力成熟度评估(TSM)的企业:
- 用友网络科技股份有限公司
通过研发运营安全工具(SAST)评估的企业:
- 腾讯云计算(北京)有限责任公司
中国信通院“2022安全守卫者计划—软件供应链安全专题”优秀案例发布
为进一步促进软件供应链产业创新发展,提升企业软件供应链安全治理水平,中国信通院启动了“2022安全守卫者计划--软件供应链安全专题”优秀案例征集评选活动,评选出了一批技术成熟、方案完善、具备广泛应用性的优秀案例。
2022安全守卫者计划——安全运营专题优秀案例评选结果
软件供应链安全实验室(3S-LAB)正式成立
软件供应链安全实验室(3S-Lab)由中国信通院发起建立,旨在联合政、产、学、研、用多方力量,整合优质资源,研究关键技术,完善标准体系,开展测试与评估,搭建合作桥梁,推动软件供应链安全产业健康有序发展。本次论坛上,软件供应链安全实验室(3S-LAB)正式宣布成立并对实验室首批成员单位代表进行了授牌。
软件供应链安全实验室(3S-LAB)首批成员单位
《软件物料清单(SBOM)安全应用白皮书》发布
为让国内企业迅速了解软件物料清单(SBOM)技术,推动建立SBOM体系,建信金科与中国信通院联合编撰了国内首本《软件物料清单(SBOM)安全应用白皮书》,并在论坛上由建信金科基础技术中心总裁李晓敦和中国信通院云大所所长何宝宏联合发布。
《软件物料清单(SBOM)安全应用白皮书》发布
随后,建信金科基础技术中心信息安全专家王晖对于白皮书内容进行深入解读,她指出,白皮书梳理了软件物料清单(SBOM)的国际进展和相关标准,并对SBOM的发展趋势进行了展望。同时,通过软件物料清单(SBOM)在建信金科DevOps、安全运营平台上的应用实践,为行业提供可落地的参考。
《软件物料清单(SBOM)安全应用白皮书》解读
软件供应链安全洞察
中国信通院云大所开源和软件安全部副主任(主持工作)郭雪以“软件供应链全景观察”为题发表了演讲,她表示,软件供应链安全面临五大挑战,已成为全球安全共识,中国信通院持续开展标准体系建设和评估,保障软件供应链全链路安全。未来中国信通院将继续推进软件供应链安全技术、框架等相关研究,完善软件供应链安全标准体系和系列评估。同时加强生态建设,进一步推动供应链上下游企业完善自身安全管理体系,建立软件供应链安全可信生态。
软件供应链安全洞察解读
与会嘉宾围绕“软件供应链安全”发表精彩演讲
中国信通院云大所开源和软件安全部工程师李晓明在论坛上以《软件供应链安全管理能力成熟度模型》为题,从软件供应链管理机制、供应链上游、生产链和供应链下游四大维度对软件供应链安全指标进行了解读,以提高软件供应链需方软件供应链安全管理能力,规范软件供应链需方软件供应链管理流程,并为第三方测评提供新思路。
结合软件供应链引入实践,平安银行资深安全专家陈迎宾发表了题为“平安银行软件供应链安全实践”的演讲,他指出,为了加强软件供应链安全管理,从2018年开始平安银行通过对第三方采购应用服务,开源组件等进行重点安全治理。通过制定流程规范,建立流程管控平台,对供应链产品在引入安全评估,版本管控,线上持续运营,持续自动化扫描,人工定期安全检视,下线监控等方面进行全流程安全管理,软件供应链安全质量得到明显提高。
中国信通院云大所开源和软件安全部工程师俊哲对于《软件物料清单建设总体框架》进行深入解读。他指出,《软件物料清单建设总体框架》标准的制定,将有助于指导厂商更好的将软件物料清单引入软件供应链安全建设,从而为针对供应链的攻击的快速定位和响应提供解决方向,降低造成重大网络安全事件的风险,同时也将减少用户的采购和使用成本。
围绕制品检测在供应链安全DevSecOps落地应用中的重要性及相关分析技术的挑战、落地方法,腾讯安全高级安全研究员张文凯详细分析了“供应链安全下制品扫描的技术实践”,他从供应链安全着手,论述了制品扫描对于供应链安全的必要性、制品扫描在研发流程中的重要地位及相关使用场景引发的技术需求、二进制软件成分分析在制品扫描中的重要意义及相关技术细节实现、开源组件知识库构建的挑战与意义。
从软件供应链安全研究成果的角度出发,悬镜安全高级解决方案架构师凌云带来“浅谈软件供应链安全治理趋势与最佳实践”主题分享,他表示,悬镜安全结合多年的敏捷安全落地实践经验和软件供应链安全研究成果,探索出基于原创专利级“敏捷流程平台+关键技术工具链+组件化软件供应链安全服务”的第三代DevSecOps智适应威胁管理体系,帮助企业构筑一套适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的内生积极防御体系。
通过发布多项软件供应链安全成果,进行深具实践价值的精彩分享,本次论坛圆满结束。未来,中国信通院将继续与产业各方展开更加紧密的合作,通过制定相关标准、举办活动论坛等,推动软件供应链安全、有序、健康发展,推进千行百业数字化转型,助力数字中国建设。